What Is Zero Trust Anyway

¿Qué es la Seguridad de Confianza Cero?

Alrededor de tres minutos después de comenzar a planificar este artículo, tuve uno de esos momentos de “dios, estoy viejo”. Aquí está la razón de ese momento. He trabajado en ciberseguridad desde 1994. Mi primer trabajo fue en una de las Big 3 trabajando para el gobierno de EE. UU. a través de uno de los bufetes de abogados más grandes del mundo. Sí, era complicado.

En aquellos días (dicho con la voz de un anciano), la ciberseguridad ni siquiera era ciberseguridad. Era simplemente seguridad. La seguridad de la información no se convertiría en algo hasta principios de los 2000. La conexión en red de computadoras apenas estaba comenzando. ¿Ves a lo que me refiero? Comencé hace mucho tiempo.

El punto de esto es que incluso cuando las computadoras apenas se estaban conectando en red, y la ciberseguridad no era un concepto, y el puesto de CISO sería considerado brujería, había un principio en la arquitectura de TI llamado “Conoce tu Computadora” (KYC) o más tarde “Conoce tu Red” (KYN). Este principio tiene su origen en la industria financiera de los años 90.

Básicamente, para vender más productos a sus clientes actuales, intentaban aprender todo lo que pudieran. Recuerda que esto es al principio del internet. Las enormes bases de datos sobre usuarios y sus gustos, disgustos y hábitos de compra después de medianoche estaban a décadas de distancia.

KYC o KYN, como se ilustra, son principios antiguos que han existido durante mucho tiempo. Ahora se han transformado en muchas cosas a lo largo de los años, y hoy se llaman Zero Trust. Sería injusto e incorrecto comparar la complejidad y el detalle técnico de la TI de hoy con la de ayer. Por otro lado, hay lecciones aprendidas de un tiempo de TI más simple que todavía tienen valor hoy.

KYC o KYN

Son conceptos antiguos, pero los principios aún son relevantes en el entorno de TI actual. Francamente, Zero Trust es la última iteración del concepto KYN. Mira abajo:

KYN

Zero Trust

Conoce cuál es el propósito de todos los dispositivos en la red

Limita el acceso a todos los dispositivos en la red solo a lo que necesitan para cumplir su función

Documenta el comportamiento de todos los sistemas en la red y alerta sobre desviaciones

Documenta el comportamiento de todos los sistemas en la red y bloquea todas las demás acciones

Documenta tus flujos de datos

Documenta tus flujos de datos y alerta sobre cambios

Crea foros regulares para revisar cambios y actualizaciones en los sistemas de la red

Revisa regularmente alertas e infracciones de los controles de Zero-trust

Podría seguir, pero el punto parece bastante claro. Ahora, KYN no se alinea perfectamente con el modelo de Zero-trust. Las amenazas y complejidades de las redes de computadoras simplemente no existían en los años 90.

¿Qué es Zero Trust de todos modos?

Todos hemos estado en la industria durante años. Incluso si solo llevas días en la industria, has leído, te han enviado correos electrónicos, te han llamado proveedores, te han invitado a webinars, seminarios o círculos de tambores vendiendo Zero Trust.

Cada proveedor, sin importar la tecnología, está vendiendo su producto como la última cura milagrosa de Zero-trust. Ha habido muchas modas en la industria, y ese no es el punto de este artículo. Este artículo es para explicar Zero Trust y diferentes estrategias para implementarlo de manera efectiva y económica.

Zero Trust es una filosofía. En pocas palabras, no permitas que ocurra nada en la red de lo que eres responsable que no conozcas ya. Como todas las filosofías, es algo simple de decir, fácil de entender y difícil de implementar.

Puede que te estés preguntando, “Tengo 5k endpoints, 40 proveedores de nube, 800 servidores y 600 aplicaciones. ¿Espera que gestione todo eso? Es un idiota.” Yo también me dije esas palabras a mí mismo respecto a mis primeros pasos en Zero Trust. Yo también llamé a alguien idiota.

Luego comencé a pensar en cómo respondería a las preguntas que me haría algún ejecutivo de desarrollo de negocios que leyó las palabras Zero Trust en la parte trasera de una revista mientras volaba de costa a costa. “Pregunta rápida XXX, ¿cuál es nuestra estrategia de Zero-trust? Necesito entenderla, así que crea una presentación rápida de tres diapositivas explicando por qué somos de clase mundial en ello.” Comencé con cuáles eran nuestras joyas de la corona. Otros lo llaman la Lista de Activos de Alto Valor (HVA). Como lo llames, ahí es donde comienzas.

El primer paso es documentar el Quién, Qué, Cuándo, Dónde y Cómo se utilizan los HVA. Esto probablemente tomará la forma de entrevistas con los usuarios del negocio. NO los líderes del negocio. Necesitas obtener su aprobación, pero las personas que realmente usan el HVA son con las que necesitas trabajar. Los artefactos de estas entrevistas serán nombres de estaciones de trabajo de computadoras, nombres de usuario, aplicaciones, documentación de procesos de negocio y flujos de datos.

Ahora que has respondido a esas preguntas, puedes construir una Estrategia de Zero-trust alrededor de ese HVA. Si no se accede remotamente, entonces puedes eliminar ese acceso. Si solo un número limitado de usuarios necesita acceso, elimina a todos los demás. Si solo un número limitado de computadoras necesita acceso, elimina el resto. Si el proceso no transfiere datos por correo electrónico, entonces pon un bloqueo DLP para eliminar ese mecanismo de transferencia de datos. Solo estás construyendo muros alrededor de los procesos de negocio.

No lo estás cambiando, y ese es un punto que necesita ser enfatizado cuando trabajas con el negocio. No vas a empeorar su experiencia diaria. Cada vez que implementes el control, asegúrate de tener alertas para los cambios. Si accedes a grupos para el acceso de usuarios, entonces si cambia la membresía de ese grupo, asegúrate de tener una estrategia de alertas para notificar tanto al negocio como a las operaciones de ciberseguridad del cambio. Quizás no se esperaba o no se aprobó, y has descubierto algo antes de que ocurra algún daño.

Tu programa puede no tener los controles en su lugar para implementar ese control necesario en ese HVA. Ahora has documentado tu justificación de negocio para el nuevo control. Sospecharía que tu programa probablemente ya tiene las capacidades técnicas para implementar los controles necesarios.

Una Estrategia de Zero-trust solo te permite hacer dos cosas. Número uno, usar la jerga moderna para describir tus esfuerzos y necesidades. Número dos, enfocar los esfuerzos de tu equipo en la lista de HVA. Intentar implementar Estrategias de Zero-trust en toda una empresa a la vez es una tarea de tontos. Comienza con los activos más importantes de la organización primero.

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

Compartir
Twittear
Compartir
Explore Kiteworks